❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Prosim o pomoc s nastavenim Firewallu

Návody a problémy s konfigurací.
Odpovědět
Konycz
Příspěvky: 59
Registrován: 8 years ago

Prosim o pomoc s nastavenim Firewallu

Příspěvekod Konycz » 8 years ago

Mohl by prosim nekdo pomoc s nastavenim ??? Rekl bych ze to mam blbe..

http://imgur.com/a/KIZmG
0 x
Nahoru
mirek.k
Příspěvky: 796
Registrován: 17 years ago

Příspěvekod mirek.k » 8 years ago

Z tohoto výpisu není celkem nic vidět a také chybí informace, jakém jsou na fw požadavky.
Mirek
0 x
Nahoru
Konycz
Příspěvky: 59
Registrován: 8 years ago

Příspěvekod Konycz » 8 years ago

Ty accepty jsou porty ktery jsou povoleny, jsou presnerovany dal do site plus povoleny icmp na ten mikrotik, a potom tam je blokovanej jeden rozsah IP adres, ktery by se mel blokovat obema smery(jak z internetu tak do internetu)... a vse ostatni by se melo zakazat... samozrejme myslim tim vse ostatni blokovat z pristupu z internetu... do internetu povoleno
0 x
Nahoru
ludvik
Příspěvky: 4448
Registrován: 14 years ago

Příspěvekod ludvik » 8 years ago

Když to máš blbě, tak si to přepiš ... a něco si nastuduj o principech. Ono nám se radí fakt blbě.

po tisícístodruhé:
a) první je vždy povolení established,related. Na forwardu, i inputu. To je důležité, protože zbytkem pravidel projde vždy jen první paket každého spojení. Ty ostatní (a i opačný směr) řeší právě toto pravidlo.
b) pak si povolíš co potřebuješ. Přesněji tě zajímá nejspíš jen směr z WAN, kdežto z LAN povolíš nejspíš vše.
c) jako poslední je zákaz úplně všeho.

Tento princip se mění dle požadavků. Pokud je to firemní či domácí síť, tedy obecně hodně restriktivní, platí to takto. Pokud je to síť typu ISP, tak se takto řeší jen input (tedy ochrana toho routeru samotného) a forward obráceně, nejdřív se výjimečně něco zakáže či omezí a pak všechno povolí (resp. nedělá se nic, neboť i mikrotiku je ACCEPT na konci default).

Pěkně si to rozhoď, abys měl input i forward zvlášť, lépe se to čte. A mysli na to, že INPUT a FORWARD nemá nic společného, začátečníci to leckdy neví či nevidí.

Screenshot je dobrý akorát k tomu, abys nám sebral chuť radit. Nikdy tam není vše. Musíš dát textově, pěkně čitelně výpis /ip firewall export.
A piš česky. Bez háčků, čárek a v jedné větě je dřina to rozluštit ...
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Nahoru
Konycz
Příspěvky: 59
Registrován: 8 years ago

Příspěvekod Konycz » 8 years ago

Pokuď by si prosím byl tak hodný a podival se .... asi bude i špatne seřazení (napřed vše zakázat a potom povolovat)... děkuji mockrát

Kód: Vybrat vše

[admin@FUN-Router] > /ip firewall export
# aug/03/2017 08:07:09 by RouterOS 6.35.4
# software id = DVN2-3LN6
#

/ip firewall address-list
add address=88.150.148.189 list=SAT
add address=88.150.148.188 list=SAT
add address=149.202.92.139 list=SAT
add address=69.30.251.30 list=SAT
add address=103.61.236.150 list=SAT
add address=173.208.145.243 list=SAT
add address=183.61.164.150 list=SAT
add address=192.99.168.158 list=SAT
add address=64.237.40.126 list=SAT
add address=174.128.245.7 list=SAT
add address=37.48.64.176 list=SAT
add address=206.221.181.190 list=SAT
add address=149.202.53.11 list=SAT
add address=149.202.53.110 list=SAT
add address=37.187.248.28 list=SAT
add address=23.252.162.202 list=SAT
add address=23.62.120.133 list=SAT
add address=104.20.39.172 list=SAT
add address=23.252.165.129 list=SAT
add address=92.223.0.0/16 list=SAT
add address=37.252.248.75 list=SAT
/ip firewall filter
add chain=forward in-interface=ether1-wan protocol=icmp
add chain=forward comment="Povoleni prichoziho portu 1021 (FTP server)" \
    dst-port=1021 in-interface=ether1-wan protocol=tcp
add chain=forward comment="Povoleni prichoziho portu 5900 (VNC)" dst-port=\
    5800-5900 in-interface=ether1-wan protocol=tcp
add chain=forward comment="Povoleni prichoziho portu 500,4500,1701 (PPTP)" \
    dst-port=500,4500,1701 in-interface=ether1-wan protocol=udp
add chain=forward comment="Povoleni prichoziho portu 5900 (VNC)" dst-port=\
    5800-5900 in-interface=ether1-wan protocol=udp
add chain=forward comment="Povoleni prichoziho portu 9981 (DVB-T server)" \
    dst-port=9981,9982 in-interface=ether1-wan protocol=tcp
add chain=forward comment="Povoleni prichoziho portu 9981 UDP(DVB-T server)" \
    dst-port=9981,9982 in-interface=ether1-wan protocol=udp
add chain=forward comment="Povoleni prichoziho portu 80(www server)" dst-port=\
    80 in-interface=ether1-wan protocol=tcp
add chain=forward comment=\
    "Povoleni prichoziho portu 2005-2010 (FTP server PASSIV)" dst-port=\
    2005-2010 in-interface=ether1-wan protocol=tcp
add chain=forward comment="Povoleni prichozi port 222 (SSH na server)" \
    dst-port=222 in-interface=ether1-wan protocol=tcp
add chain=forward connection-state=established in-interface=ether1-wan
add action=drop chain=forward comment="Blokovani IP adres v address listu" \
    dst-address-list=SAT
add chain=forward connection-state=related in-interface=ether1-wan
add chain=forward out-interface=ether1-wan
add action=drop chain=input dst-port=53 in-interface=ether1-wan protocol=udp
add action=drop chain=forward in-interface=ether1-wan
/ip firewall nat
add action=masquerade chain=srcnat src-address=172.16.10.0/24
add action=dst-nat chain=dstnat comment="SSH server" dst-address=verejnaIPadresa \
    dst-port=222 protocol=tcp to-addresses=172.16.10.2 to-ports=222
add action=dst-nat chain=dstnat comment=VNC dst-address=verejnaIPadresa dst-port=\
    5900 protocol=tcp to-addresses=172.16.10.3 to-ports=5900
add action=dst-nat chain=dstnat comment=VNC dst-address=verejnaIPadresa dst-port=\
    5900 protocol=udp to-addresses=172.16.10.3 to-ports=5900
add action=dst-nat chain=dstnat comment=DVB-T dst-address=verejnaIPadresa \
    dst-port=9981-9982 protocol=tcp to-addresses=172.16.10.20 to-ports=\
    9981-9982
add action=dst-nat chain=dstnat comment="DVB-T UDP" dst-address=verejnaIPadresa \
    dst-port=9981-9982 protocol=udp to-addresses=172.16.10.20 to-ports=\
    9981-9982
add action=dst-nat chain=dstnat comment=SMTP dst-address=verejnaIPadresa \
    dst-port=25 protocol=tcp to-addresses=172.16.10.2 to-ports=25
add action=dst-nat chain=dstnat comment=SMTP dst-address=verejnaIPadresa \
    dst-port=25 protocol=udp to-addresses=172.16.10.2 to-ports=25
add action=dst-nat chain=dstnat comment="www server" dst-address=verejnaIPadresa \
    dst-port=80 protocol=tcp to-addresses=172.16.10.2 to-ports=80
add action=dst-nat chain=dstnat comment=VOIP dst-address=verejnaIPadresa \
    dst-port=4000-6000 protocol=tcp to-addresses=172.16.10.2 to-ports=5000-6000
add action=dst-nat chain=dstnat comment=VOIP dst-address=verejnaIPadresa \
    dst-port=10000-20000 protocol=tcp to-addresses=172.16.10.2 to-ports=\
    10000-20000
add action=dst-nat chain=dstnat comment=VOIP dst-address=verejnaIPadresa \
    dst-port=10000-20000 protocol=udp to-addresses=172.16.10.2 to-ports=\
    10000-20000
add action=dst-nat chain=dstnat comment=VOIP dst-address=verejnaIPadresa \
    dst-port=4000-6000 protocol=udp to-addresses=172.16.10.2 to-ports=5000-6000
add action=dst-nat chain=dstnat comment="FTP server - passive" dst-address=\
    verejnaIPadresa dst-port=2005-2010 protocol=tcp to-addresses=172.16.10.2 \
    to-ports=2005-2010
add action=dst-nat chain=dstnat comment="FTP server - passive" dst-address=\
    verejnaIPadresa dst-port=2005-2010 protocol=udp to-addresses=172.16.10.2 \
    to-ports=2005-2010
add action=dst-nat chain=dstnat comment="FTP server" dst-address=verejnaIPadresa \
    dst-port=1021 protocol=tcp to-addresses=172.16.10.2 to-ports=1021
/ip firewall service-port
set ftp ports=211
0 x
Nahoru
Odpovědět

Zpět na „Konfigurace“